مشاركة عبر

إعلامات Defender for Identity في Microsoft Defender XDR

  • مقالة

يوفر Microsoft Defender for Identity إعلامات للمشكلات الصحية وتنبيهات الأمان، إما عبر إشعارات البريد الإلكتروني أو إلى خادم Syslog.

توضح هذه المقالة كيفية تكوين إعلامات Defender for Identity بحيث تكون على علم بأي مشكلات صحية أو تنبيهات أمان تم اكتشافها.

تلميح

بالإضافة إلى إعلامات البريد الإلكتروني أو Syslog، نوصي مسؤولي SOC باستخدام Microsoft Sentinel لعرض جميع التنبيهات في مدخل واحد. لمزيد من المعلومات، راجع تكامل Microsoft Defender XDR مع Microsoft Sentinel. لدمج أدوات SIEM الأخرى، راجع دمج أدوات SIEM مع Microsoft Defender XDR.

تكوين إعلامات البريد الإلكتروني

يصف هذا القسم كيفية تكوين إعلامات البريد الإلكتروني لمشكلات حماية Defender for Identity.

  1. في Microsoft Defender XDR، حدد Settings>Identities.

  2. ضمن Notifications، حدد Health issues notifications.

  3. في إضافة بريد إلكتروني للمستلم، أدخل عنوان (عناوين) البريد الإلكتروني حيث تريد تلقي إعلامات البريد الإلكتروني، وحدد + إضافة.

عندما يكتشف Defender for Identity مشكلة صحية، يتلقى المستلمون المكونون إشعارا بالبريد الإلكتروني يحتوي على التفاصيل، مع ارتباط إلى Microsoft Defender XDR لمزيد من التفاصيل.

ملاحظة

لتلقي إعلامات البريد الإلكتروني حول الحوادث، يرجى استخدام صفحة إعلامات البريد الإلكتروني ضمن إعدادات Defender XDR لقواعد الإعلامات الجديدة والحالية. تعرّف على المزيد.

تكوين إعلامات Syslog

يصف هذا القسم كيفية تكوين Defender for Identity لإرسال مشكلات السلامة وأحداث الأمان إلى خادم Syslog من خلال أداة استشعار تم تكوينها.

لا يتم إرسال الأحداث من خدمة Defender for Identity إلى خادم Syslog مباشرة، ولكن فقط من خلال أداة الاستشعار.

لتكوين إعلامات Syslog:

  1. في Microsoft Defender XDR، حدد Settings>Identities.

  2. ضمن Notifications، حدد Syslog notifications، ثم قم بالتبديل على خيار خدمة Syslog .

  3. حدد تكوين الخدمة لفتح جزء خدمة Syslog .

  4. أدخل التفاصيل التالية:

    • أداة الاستشعار: حدد أداة الاستشعار التي تريد إرسال إعلامات إلى خادم Syslog.
    • نقطة نهاية الخدمةوالمنفذ: أدخل عنوان IP أو اسم المجال المؤهل بالكامل (FQDN) لخادم Syslog، ثم أدخل رقم المنفذ. يمكنك تكوين نقطة نهاية Syslog واحدة فقط.
    • النقل: حدد بروتوكول النقل (TCP أو UDP).
    • التنسيق: حدد التنسيق (RFC 3164 أو RFC 5424).

  5. حدد إرسال إعلام SIEM للاختبار ثم تحقق من تلقي الرسالة في حل البنية الأساسية ل Syslog.

  6. عندما تتأكد من أن الاختبار يعمل، حدد حفظ.

  7. بعد تكوين خدمة Syslog، حدد أنواع الإعلامات لإرسالها إلى خادم Syslog، بما في ذلك كلما:

    • تم الكشف عن تنبيه أمان جديد
    • يتم تحديث تنبيه أمان موجود
    • تم الكشف عن مشكلة صحية جديدة

تلميح

عند العمل مع Syslog في وضع TLS، تأكد من تثبيت الشهادات المطلوبة على أداة الاستشعار المعينة.

إنشاء برامج نصية للأتمتة لسجلات Defender for Identity SIEM

إذا كنت تقوم بإنشاء برامج نصية تلقائية لسجلات Defender for Identity SIEM، نوصي باستخدام حقل externalId لتحديد نوع التنبيه بدلا من استخدام اسم التنبيه.

بينما قد يتم تعديل أسماء التنبيهات أحيانا، يكون externalId لكل تنبيه دائما. لمزيد من المعلومات، راجع مرجع سجل Defender for Identity SIEM.

المحتويات ذات الصلة

لمزيد من المعلومات، راجع تكوين مجموعة الأحداث.